0
Найти на сайте: параметры поиска

 

 

Системные файлы регистрации UNIX

12 апреля 2020 - natribamakom

Изменение учетных файлов в UNIX

Кроме файлов регистрации, главными учетными файлами в UNIX являются utmp, wtmp и last log (см. главу 3). В то время как большинство файлов регистрации записываются на UNIX-системах в текстовом формате, файлы utmp, wtmp и last log сохраняются в специальном двоичном формате. Если атакующий попытается изменить их с помощью стандартного редактора, файлы будут разрушены и не смогут должным образом читаться системой (после ввода команд who, last и др.). Кроме того, поскольку эти файлы записаны в двоичном формате, атакующий в любом случае будет видеть только мусор при их открытии в стандартном редакторе.

Чтобы модифицировать учетные файлы, атакующий должен использовать инструмент, который может читать и перезаписывать специальный двоичный формат учетных файлов. Существует несколько таких инструментальных средств, их полный перечень доступен на ftp.technotronic.com/unix/log-tools/. Конкретные программы настроены для определенных клонов UNIX. В частности, инструмент, созданный Simple Nomad позволяет удалять записи из utmp, wtmp и last log в нескольких системах UNIX. Программа remove также разрешает атакующему путем редактирования файла last log изменить время последнего входа в систему, местоположение и статус любых пользователей. Другие подобные инструментальные средства содержат wtmped, marry, cloak, logwedit, wzap и zapper. Многие из этих инструментов редактирования регистрационных и учетных файлов включены в качестве стандартных компонентов дистрибутивов RootKit типа lrk5 (см. главу 10).

Комментарии (0)

Нет комментариев. Ваш будет первым!